Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de

Weitere Magazine

Empfehlungen

Info

Sicherheitsvorgaben AVA-Sign Version 2.1 3.4 Sicherheitsmechanismen M1 Hashwertberechnung Der Sicherheitsmechanismus M1 implementiert die Hashfunktion SHA-1 gemäß FIPS 180-2 [7] oder RIPEMD-160. Er wird für die Sicherheitsfunktionen F1 Signaturprüfung und die F2 Unterstützung der Signaturerstellung benutzt. M2 Prüfung digitaler Signatur Der Sicherheitsmechanismus M2 prüft digitale Signaturen gemäß PKCS#1 v1.5 [9] 3 , Abschnitt 8.2.2. M3 Pseudozufallsgenerator Der Sicherheitsmechanismus M3 implementiert einen deterministischen Zufallsgenerator. M4 Triple-DES Der Sicherheitsmechanismus M4 implementiert den 3-Schlüssel-Triple-DES gemäß [8]. M5 Anzeige Der Sicherheitsmechanismus M5 (a) ermöglicht eine Auswahl einer Datei mit TXT-Dateierweiterung im AVA- Datencontainer, (b) zeigt in einem gesonderten Fenster den Dateiort, den Dateinamen und die enthaltenen Daten nach ISO8859-1 an. 3.5 Zweckmäßigkeit der Sicherheitsfunktionen/-mechanismen Das Ergebnis der Zweckmäßigkeitsuntersuchung ist in der folgenden Tabelle dargestellt. In jeder Tabellenzelle kennzeichnet ein Kreuz „X“ die den Bedrohungen entgegenwirkenden Funktionen. Die Abwehr der Bedrohung erfolgt im Sinne der Sicherheitsziele des EVG. 3 Hinweis: Das Dokument [9] spezifiziert sowohl die Version 2.1 des Standards (relevante Teile dazu finden sich in Abschnitt 8.1) als auch die ältere Version 1.5 (vgl. Abschnitt 8.2). Seite 14 von 19 ventasoft GmbH 15.10.2003
AVA-Sign Version 2.1 Sicherheitsvorgaben B1 B2 B3 F1 Signaturprüfung X X F2 Unterstützung der Signaturerstellung B4 X X B5 B6 X F3 Entschlüsseln X F4 Verschlüsseln F5 Sichere Anzeige F6 Umgebungskontrolle B7 X X Tabelle 2: Wirksamkeit der Sicherheitsfunktionen zur Abwehr der Bedrohungen X Die Bedrohung B1 (Manipulation der Ausschreibungsunterlagen auf dem Übertragungsweg) wird durch die Prüfung der elektronischen Signatur über den Ausschreibungsunterlagen durch die Sicherheitsfunktion F1 Signaturprüfung erkannt. Dadurch wird die Integrität der empfangenen Ausschreibungsunterlagen im Sinne des Sicherheitsziels Z1 erkannt. Hinweis: Unter der Annahme A2 unterstützt auch die verschlüsselte Übertragung der Ausschreibungsunterlagen die Abwehr der Bedrohung B1, da eine zielgerichtete Manipulation im CBC-Mode verschlüsselter Daten zusätzlich erschwert ist. In diesem Fall muss die Verschlüsselung durch die Umgebung geleistet werden. Die Bedrohung B2 (Offenbarung der Ausschreibungsunterlagen auf dem Übertragungsweg) wird durch die verschlüsselte Übertragung zwischen dem Absender (unter der Annahme A2) und dem Empfänger unter Nutzung der Sicherheitsfunktion F3 Entschlüsseln gewährleistet. Die Sicherheitsfunktion F3 Entschlüsseln macht die verschlüsselten Ausschreibungsunterlagen dem Bieter entsprechend Sicherheitsziel Z2 lesbar. Die Bedrohung B3 (Manipulation der Ausschreibungsunterlagen auf dem lokalen Rechner) kann ebenso wie die Bedrohung B1 mit Hilfe der Prüfung der elektronischen Signatur über den Ausschreibungsunterlagen durch die Sicherheitsfunktion F1 Signaturprüfung erkannt werden. Die Bedrohung B4 (Manipulation der Angebotsunterlagen auf dem lokalen Rechner) kann mit Hilfe der Prüfung der (mittels F2) selbst erstellten elektronischen Signatur über den Angebotsunterlagen durch die Sicherheitsfunktion F1 Signaturprüfung erkannt werden. Hinweis: Die Sicherheitsfunktion F5 Sichere Anzeige ermöglicht dem Bieter seine TXT-Dateien visuell vor und nach der Signaturerstellung zu prüfen. Die Sicherheitsfunktion F6 Umgebungskontrolle kontrolliert den Transport des Hashwerts der zu signierenden Daten auf dem Weg von AVA-Sign zur Chipkarte im Signierprozess der Sicherheitsfunktion F2 Unterstützung der Signaturerstellung. Beide Funktionen wirken zwar auch hier unterstützend, werden aber im Zusammenhang mit Bedrohung B7 diskutiert. 15.10.2003 ventasoft GmbH Seite 15 von 19
Seite 1 und 2: Zertifizierungsreport T-Systems-DSZ
Seite 3 und 4: Deutsches IT-Sicherheitszertifikat
Seite 5 und 6: AVA-Sign Version 2.1 Inhaltsverzeic
Seite 7 und 8: AVA-Sign Version 2.1 Referenzen /AI
Seite 9 und 10: AVA-Sign Version 2.1 Integrität IT
Seite 11 und 12: AVA-Sign Version 2.1 Erläuterungen
Seite 13 und 14: AVA-Sign Version 2.1 d) ob bekannte
Seite 15 und 16: AVA-Sign Version 2.1 1 Hersteller u
Seite 17 und 18: AVA-Sign Version 2.1 den in den Bro
Seite 19 und 20: AVA-Sign Version 2.1 5 Zusammenfass
Seite 21 und 22: AVA-Sign Version 2.1 - Auslieferung
Seite 23 und 24: AVA-Sign Version 2.1 36 Falls Anfor
Seite 25 und 26: Anhang: Sicherheitsvorgaben zu „A
Seite 27 und 28: Evaluierung von AVA-Sign in der Ver
Seite 29 und 30: AVA-Sign Version 2.1 Sicherheitsvor
Seite 39: AVA-Sign Version 2.1 Sicherheitsvor
Seite 48: Zertifizierungsreport T-Systems-DSZ

Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?